بدافزار جدید اندرویدی EventBot نزدیک به ۳۰۰ برنامه‌ی مالی را هدف قرار داده است

محققان امنیتی از شناسایی یک بدافزار جدید اندرویدی که کاربران نزدیک به ۳۰۰ برنامه‌ی مالی را در سراسر ایالات متحده و اروپا هدف قرار داده است، هشدار داده‌اند. این تهدید که EventBot نام دارد، به‌نظر می‌رسد به‌تازگی توسعه یافته است، زیرا کد آن با سایر بدافزارهای اندرویدی موجود تفاوت بسیاری دارد. علاوه‌براین، محققان معتقدند که این تروجان و سرقت‌کننده‌ی اطلاعات بانکی به‌صورت فعال درحال توسعه بوده و به‌سرعت در حال تکامل است.

این تروجان برای سوءاستفاده از ویژگی‌های دسترسی اندروید برای سرقت اطلاعات کاربر و دستگاه و داده‌های برنامه‌های مختلف، از جمله نرم‌افزارهای مالی هدف و پیام‌های کوتاه طراحی شده است. به گفته‌ی محققان، با توجه به این‌که دستگاه‌های تلفن همراه تمایل دارند علاوه‌بر داده‌های شخصی، داده‌های تجاری زیادی را نیز ذخیره کنند، به‌ویژه در سازمان‌هایی که خط‌مشی مربوط به همراه‌داشتن ابزارهای شخصی خود را دارند، احتمال سرقت داده‌های تجاری کلیدی توسط بدافزار EventBot بالاتر می‌رود.

پس از نصب EventBot، این بدافزار مجوزهای زیادی در دستگاه، از جمله قابلیت نمایش در بالای سایر برنامه‌ها، خواندن حافظه‌ی خارجی، نصب بسته‌ها، بازکردن سوکت‌های شبکه، پیام‌های کوتاه دریافتی یا شروع بلافاصله پس از راه‌اندازی، را درخواست کرده و از کاربر می‌خواهد تا به خدمات دسترسی، دسترسی داشته باشد.

یک فایل پیکربندی در مورد این بدافزار، فهرستی از برنامه‌های هدف شامل ۱۸۵ برنامه‌ی بانکی (برای بانک‌های ایتالیا، انگلیس، آلمان، فرانسه، اسپانیا، ایالات متحده، رومانی، ایرلند، هند، اتریش، سوئیس، استرالیا و لهستان) و ۱۱۱ برنامه‌ی مالی جهانی مانندPaypal Business ،Revolut ،Barclays ، UniCredit،CapitalOne UK ،HSBC UK ،Santander UK ،TransferWise ، Coinbase و paysafecard را ارائه می‌دهد.

این تروجان فهرستی از برنامه‌های نصب‌شده و اطلاعات سیستم را پرس‌وجو کرده و تمامی داده‌ها را به‌صورت رمزنگاری‌شده به سرور فرمان و کنترل خود ارسال می‌کند. این بدافزار، همچنین می‌تواند پیام‌های کوتاه را تجزیه کند که به آن، امکان دورزدن محافظت‌های احراز هویت دو عاملی را می‌دهد.

از سوی دیگر، تابعی به نام parseCommand، امکان به‌روزرسانی فایل‌های پیکربندی، تزریق‌های وب، سرورهای فرمان و کنترل و موارد مشابه را برای بدافزار فراهم می‌کند. به این ترتیب، بدافزار می‌تواند ماژول اصلی خود را به‌روز کرده و همچنین، این ماژول را به‌صورت پویا بارگذاری کند. نسخه‌های جدیدتر این تروجان امکان ردیابی تغییرات کد PIN در تنظیمات دستگاه را نیز دارند.

بررسی‌های صورت‌گرفته بر روی بدافزار EventBot، چندین نمونه‌ی بارگذاری شده در VirusTotal توسط یک کاربر را نشان می‌دهد و محققان معتقدند که این بارگذاری‌ها یا از طریق دستگاه نویسنده و یا از یک سرویس تشخیص انجام شده است که این سرویس به نوبه‌ی خود، نمونه‌هایی را به پایگاه داده‌های آنلاین بدافزار ارسال می‌کند.

درحال‌حاضر، به‎‎نظر نمی‎رسد که تروجان EventBot در یک پویش واقعی استفاده شده باشد و محققان هنوز نتوانسته‌اند آن را به یک مهاجم خاص نسبت دهند. بااین‌حال، آن‌ها انتظار دارند که با تکمیل توسعه‌ی آن، این بدافزار به انجمن‌های زیرزمینی نسبت داده شود.

بااین‌حال، محققان توانسته‌اند این بدافزار را به سرور فرمان و کنترلی که یک تروجان اندرویدی سرقت‌کننده‌ی اطلاعات، از آن در حمله به ایتالیا در اواخر سال ۲۰۱۹ میلادی استفاده می‌کرد، پیوند دهند.

منبع

پست‌های مشابه

Leave a Comment